Al igual que hiciera Badtrans, Shoho utiliza la vulnerabilidad conocida como IFRAME o MIME que afecta a Outlook e Internet Explorer y que permite la ejecución de archivos adjuntos con tan sólo previsualizar el mensaje que los contiene. En esta ocasión, incluso usuarios que utilicen otros programas de correo podrían llegar a infectarse si ejecutan el adjunto.

La principal novedad que presenta Shoho radica en el hecho de que utiliza sus propios mecanismos SMTP para llevar a cabo su difusión, en lugar de hacerlo mediante el cliente de correo Outlook.

Pese a que las compañías anti-virus lo califican de bajo riesgo, su habilidad para eliminar archivos del equipo lo hacen bastante peligroso.

Desarrollado en Visual Basic 6 se difunde a través de un e-mail cuyo asunto y cuerpo contienen el texto: "Wellcome to Yahoo! Mail". Adjunta, además, un archivo de 108 Kb llamado README.TXT seguido de 125 espacios en blanco y la extensión .PIF, con el propósito de confundir al usuario, ya que éste pensará que se trata de un simple archivo de texto cuando en realidad es un peligroso ejecutable.

Si el usuario lee el mensaje o ejecuta el adjunto, el gusano se copiará con el nombre WINL0G0N.EXE en las carpetas C:\Windows y C:\Windows\System. Modificará las claves de registro con el fin de ejecutarse en cada inicio del sistema y creará dos archivos: EMAIL.TXT, que contiene una copia del mensaje utilizado por el virus y, EMAILINFO.TXT, con las direcciones de correo a las que se enviará encontradas en los archivos de extensión EML, WAB, DBX, MBX, XLS, XLT y MDB.  

Pero el principal peligro de Shoho radica en que está programado para localizar y eliminar archivos del sistema, lo que provocará un mal funcionamiento del mismo. Por este motivo, recomendamos una vez más, instalar los parches que corrigen las vulnerabilidades encontradas en los programas y más aún, cuando éstas son explotadas por los virus para su difusión.